USA kein „sicherer Hafen“

Die persönlichen Daten europäischer Internetnutzer sind in den USA nicht ausreichend vor dem Zugriff der Behörden geschützt. Das entschied der Europäische Gerichtshof (EuGH) Anfang Oktober des letzten Jahres. Damit wurde das seit dem Jahr 2000 geltende „Safe Harbour“-Abkommen für ungültig erklärt.

Dieses Abkommen regelte bisher die Datenübermittlung von europäischen Usern in die USA. Die EU-Kommission habe keine Kompetenz gehabt, die Befugnisse der nationalen Datenschutzbehörden durch das Abkommen zu beschränken, so die Höchstrichter in Luxemburg. Die USA gelten nicht als „sicherer Hafen“ - nach EU-Recht eine Voraussetzung für die Übermittlung von Daten an Drittstaaten.

Facebook-Klage als Ausgangspunkt

Als Ausgangspunkt der Entscheidung gilt eine Klage des österreichischen Datenschutzaktivisten Maximilian Schrems gegen Facebook. Dafür wählte er Irland als Facebooks „Brücke“ in die USA. Schrems’ Ziel war, dass der irische Datenschutzbeauftragte den Datentransfer verbietet.

Eine Regelung, die es Behörden gestatte, generell auf den Inhalt elektronischer Kommunikation zuzugreifen, verletze das Grundrecht auf Achtung des Privatlebens. Auch sei das Grundrecht auf Rechtsschutz berührt, wenn der Bürger keine Möglichkeit habe, Zugang zu seinen personenbezogenen Daten zu erlangen oder ihre Berichtigung und Löschung zu verlangen. Schrems sprach in einer ersten Reaktion von einem „Meilenstein“ im Onlinedatenschutz: „Das Urteil zieht eine klare Linie.“ Es stelle klar, dass massenhafte Überwachung „unsere fundamentalen Rechte“ verletzt.

Unternehmen mussten Mindeststandards zusichern

Nach EU-Recht dürfen personenbezogene Daten nur in Drittländer übermittelt werden, wenn sie dort „angemessen“ geschützt sind. 2000 entschied die EU-Kommission, dass diese Sicherheit in den USA gewährleistet, diese also ein „sicherer Hafen“ seien. Geregelt ist das im „Safe Harbour“-Abkommen.

Eigentlich hatte die EU-Kommission verboten, dass Daten von EU-Bürgern in Ländern mit schwächeren Datenschutzregeln wie den USA gespeichert werden dürfen. Um den Internetverkehr nicht zu gefährden, konnten mit dem Abkommen aus dem Jahr 2000 US-Unternehmen aber die Einhaltung von Mindeststandards zusichern und EU-Daten trotzdem speichern. Diesem Abkommen sind Tausende US-Konzerne, darunter auch IT-Riesen wie Facebook, beigetreten.

Generalanwalt gefolgt

Der EuGH folgte mit seinem Urteil der Meinung von Generalanwalt Yves Bot. Dieser hatte schon Ende September das Datenabkommen für ungültig erklärt - allerdings in einem nicht bindenden Gutachten. Darin meinte Bot bereits, dass der irische Datenschutzbeauftragte berechtigt sei, die Sicherheit der Facebook-Daten eigenverantwortlich zu prüfen und dann seine eigenen Konsequenzen zu ziehen.

Der Zugang der US-Geheimdienste zu den übermittelten Daten stelle einen unzulässigen Eingriff in das Recht auf Achtung des Privatlebens und in das Recht auf den Schutz personenbezogener Daten dar, erklärte der Generalanwalt in seinem Gutachten. Eigens hielt der Generalanwalt fest, dass die nationalen Behörden weiterhin die Übermittlung der Daten europäischer Nutzer von Facebook an US-Server aussetzen können.

Schon das Gutachten des Generalanwalts bedeutete einen Etappensieg für Schrems. Nun konnte er sich mit seiner Ansicht auch beim EuGH durchsetzen. Schrems hatte gegen das Sammeln seiner Daten durch Facebook geklagt, nachdem 2013 die Enthüllungen des ehemaligen US-Geheimdienstmitarbeiters Edward Snowden über die Internetspionage der NSA an die Öffentlichkeit gelangt waren.

Links:

• EuGH
• Schlussantrag des EuGH-Generalanwalts
• Europe vs. Facebook (Schrems’ Aktivistenwebsite)
• Maximilian Schrems (Wikipedia)